Rozporządzenie DORA i operacyjna odporność cyfrowa: co warto wiedzieć

W erze szybkiej cyfryzacji, sektor finansowy staje przed nowymi, złożonymi wyzwaniami. Zwiększone wykorzystanie rozwiązań biznesowych opartych na chmurze oraz wzajemne powiązanie danych, systemów i procesów biznesowych daje ogromne możliwości, ale niesie również ze sobą poważne ryzyko, takie jak zagrożenia cybernetyczne. Zagrożenia te mogą prowadzić do utraty wrażliwych danych klientów, awarii systemów, znacznych strat finansowych, zakłóceń w działalności oraz w konsekwencji zagrażać stabilności całych systemów finansowych.

Aby przeciwdziałać tym problemom, 17 stycznia 2025 roku weszła w życie unijna regulacja DORA (ang. Digital Operational Resilience Act). Od tej daty instytucje finansowe i inne podmioty objęte rozporządzeniem muszą spełniać jego wymagania. W odpowiedzi na rosnące zagrożenia, rozporządzenie to zobowiązuje instytucje finansowe do zwiększenia odporności operacyjnej w obszarze cyfryzacji poprzez kompleksowe zarządzanie ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT).

W niniejszym wpisie przedstawiamy wszystko, co musisz wiedzieć o DORA, aby dostosować się do wymaganych zmian: od jej podstawowych zasad po konkretne wskazówki dotyczące włączenia regulacji do Twojej strategii cyberbezpieczeństwa.

DORA to nowe unijne rozporządzenie, którego celem jest poprawa odporności na zagrożenia cyfrowe oraz podniesienie standardów bezpieczeństwa ICT w sektorze finansowym. Rozporządzenie to skupia się na ochronie przed zakłóceniami ICT i zagrożeniami cybernetycznymi. Nakłada na instytucje obowiązek wdrożenia systemów zarządzania ryzykiem ICT, w tym związanych z dostawcami zewnętrznymi, raportowania incydentów związanych z cyberbezpieczeństwem oraz przeprowadzania regularnych testów odporności, które pozwolą poradzić sobie z najbardziej zaawansowanymi zagrożeniami. Celem DORA jest zapewnienie ciągłości i utrzymania zaufania do usług finansowych.

W coraz bardziej zdigitalizowanym i zintegrowanym świecie finansów rośnie ryzyko cyberataków oraz awarii IT, co może zagrozić stabilności całego systemu finansowego. Dlatego konieczne staje się wzmocnienie bezpieczeństwa, i właśnie w tym zakresie DORA odgrywa kluczową rolę.

Regulacja ta ma na celu stworzenie jednolitego ramowego podejścia do odporności cyfrowej w sektorze finansowym, optymalizując zapobieganie, wykrywanie, reagowanie i odzyskiwanie danych w przypadku zakłóceń i zagrożeń. Dzięki temu systematycznemu podejściu możliwe jest znaczne zmniejszenie ryzyka systemowego i wzmocnienie stabilności rynków finansowych w Unii Europejskiej.

Kluczową rolę w zapewnieniu zgodności z DORA pełnić będą organy nadzoru, które będą mogły przeprowadzać inspekcje, żądać informacji oraz nakładać grzywny lub inne środki korekcyjne na instytucje finansowe, które nie spełniają ustalonych standardów.

DORA opiera się na pięciu głównych filarach, z których każdy ma na celu poprawę cyberbezpieczeństwa, minimalizowanie ryzyk i promowanie jednolitego podejścia w całej Unii Europejskiej:

Rozwój i wdrożenie solidnego systemu zarządzania ryzykiem ICT, integrującego zarządzanie oraz zapewniającego nadzór na poziomie zarządu.

Tworzenie wskaźników wczesnego ostrzegania w celu klasyfikacji, raportowania i reagowania na incydenty, zapewniających terminowe działania naprawcze.

Opracowanie planów awaryjnych, regularne testy odporności, w tym testy penetracyjne oparte na zagrożeniu (TLPT), szkolenia personelu i ocena wyników.

Monitorowanie i ocena zależności ICT od dostawców usług zewnętrznych, w tym umowy kontraktowe i nadzór nad dostawcami usług krytycznych.

Ułatwienie zorganizowanej wymiany informacji o zagrożeniach cybernetycznych i incydentach, zapewniającej zgodność z regulacjami dotyczącymi bezpieczeństwa, poufności oraz konkurencji.

DORA ma szeroki wpływ na różne obszary sektora finansowego i cyfrowego, obejmując:

• Banki i instytucje kredytowe
• Firmy ubezpieczeniowe i reasekuracyjne
• Dostawców usług płatniczych oraz instytucje zajmujące się pieniądzem elektronicznym
• Firmy inwestycyjne i giełdy

Taki zasięg gwarantuje, że cały ekosystem finansowy będzie przestrzegał jednolitych standardów odporności.

Rozporządzenie UE, które zostało wprowadzone 16 stycznia 2023 roku, dawało instytucjom z sektora finansowego dwuletni okres na pełne wdrożenie. Aby zapewnić odporność cyfrową i bezpieczeństwo, wszystkie wymagania musiały więc zostać spełnione do 17 stycznia 2025 roku.

W pierwszej połowie 2024 roku opublikowano wytyczne dotyczące ram zarządzania ryzykiem ICT, bezpieczeństwa operacyjnego, klasyfikacji incydentów oraz zarządzania ryzykiem ICT związanym z dostawcami zewnętrznymi. W drugiej połowie 2024 roku zostały opublikowane dodatkowe Standardy Techniczne Regulacyjne (RTS) oraz Standardy Techniczne Wdrożeniowe (ITS), które obejmują obowiązki raportowania incydentów ICT, kryteria i metodologie testowania odporności operacyjnej cyfrowej oraz wytyczne dotyczące umów o podzlecanie usług.

Dla wzmocnienia cyberbezpieczeństwa i spełnienia wymagań regulacji, takich jak DORA, niezbędne jest wykorzystanie odpowiednich narzędzi. Oto najważniejsze obszary, w których narzędzia wspierają realizację tych celów:

Bezproblemowa integracja wszystkich wymagań DORA.

Dostarczanie gotowych szablonów do oceny ryzyka.

Identyfikacja i zarządzanie zagrożeniami.

Dostęp do gotowych działań ograniczających ryzyko.

Automatyzacja oceny ryzyka, monitorowanie w czasie rzeczywistym oraz przepływy pracy związane z reagowaniem na incydenty, zgodne z kluczowymi filarami DORA, zapewniające szybkie spełnienie wymagań dotyczących raportowania.

ADOGRC zapewnia wiele korzyści, które ułatwiają zgodność z DORA i poprawiają cyberbezpieczeństwo:

• Wyższa efektywność: automatyzacja procesów i redukcja błędów manualnych
• Przejrzystość: jasne przedstawienie wszystkich ryzyk i działań
• Zgodność: zapewnienie zgodności z DORA oraz innymi obowiązującymi regulacjami
• Skalowalność: elastyczne dostosowanie do rosnących potrzeb Twojej firmy

W odpowiedzi na rosnącą liczbę cyberataków i zakłóceń w IT, rozporządzenie DORA to znaczący krok milowy w kierunku wzmocnienia odporności cybernetycznej w europejskim sektorze finansowym. Kluczowe jest, aby instytucje finansowe posiadały odpowiednie środki i narzędzia, które zapewnią zgodność z przepisami i wzmocnią ich systemy obrony. Dzięki ADOGRC możesz zapewnić sobie spełnienie wymagań regulacyjnych, chronić swoją organizację przed dynamicznie zmieniającymi się zagrożeniami cybernetycznymi i budować bardziej odporną przyszłość dla swojego biznesu.